아키라 랜섬웨어 그룹 급부상: 해커들이 LATAM 항공 산업을 겨냥하다
목차:
사이버 보안 연구원들은 최근 라틴 아메리카 항공사를 대상으로 한 새로운 사이버 공격을 관찰했습니다. 아키라 랜섬웨어를 활용한 것으로 보입니다. 공격자들은 초기 접근을 위해 SSH 프로토콜을 악용했으며, 합법적인 도구와 Living off-the-Land Binaries and Scripts (LOLBAS)를 이용하여 정찰 및 지속성을 유지했습니다. 특히, 랜섬웨어를 배포하기 전에 핵심 데이터를 성공적으로 탈취했습니다.
아키라 랜섬웨어 공격 탐지
사이버 보안 커뮤니티는 고위협 랜섬웨어 그룹으로 인해 주요 도전에 직면하고 있습니다. Corvus Insurance의 2024년 1분기 랜섬웨어 보고서에 따르면, 전 세계 랜섬웨어 공격이 전례 없는 기록을 세웠으며 2022년을 거의 70% 초과했습니다.
아키라 랜섬웨어 그룹은 지난 1년 동안 가장 활동적인 그룹 중 하나였으며, LockBit, 및 Clop과 같은 악명 높은 공격자들과 함께 상위 자리를 공유하고 있습니다. 최신 뉴스 보도에 따르면 아키라가 주요 LATAM 항공사와, Clop, and other infamous actors. The latest news reports highlight that Akira stands behind the attack against the major LATAM airline, as well as 크로아티아의 Split 공항에서의 혼란 을 공격했으며, 미국 내 여러 주요 기업을 대상으로 한 캠페인을 시행했다는 것을 강조하고 있습니다.
아키라 랜섬웨어와 관련된 침입에 대응하기 위해 사이버 수비수들이 콘텐츠를 신속하게 습득할 수 있도록 SOC Prime 플랫폼에서는 LATAM 항공사 공격에 적용된 TTP를 다루는 큐레이션된 콘텐츠 세트를 제공합니다. ‘탐지 탐색’ 버튼을 클릭하시면Explore Detections즉시 전용 콘텐츠 목록으로 이동합니다. 모든 규칙은 30개 이상의 SIEM, EDR 및 데이터 레이크 기술과 호환되며,
All the rules are compatible with 30+ SIEM, EDR, and Data Lake technologies and mapped to the MITRE ATT&CK® 프레임워크에 매핑되어 있습니다. 또한, 탐지는 CTI 참조, 공격 타임라인, 분류 권고사항 등 폭넓은 메타데이터로 풍부하게 되어 있어 위협 조사를 수월하게 합니다.
아키라의 공격 패턴을 더욱 많이 탐지하고자 하는 사이버 수비수들은 ‘아키라’ 태그를 사용하여 위협 탐지 마켓플레이스를 찾거나, 이 링크 를 통해 그룹의 악의적 활동과 연결된 관련 Sigma 규칙 모음을 접근할 수 있습니다.
아키라 랜섬웨어 캠페인 설명
BlackBerry 연구 및 지능 팀의 조사 에 따르면, 아키라 랜섬웨어 운영자들은 LATAM 항공사 인프라에 접근하고 민감한 데이터를 탈취하며 감염된 네트워크에 아키라 페이로드를 배포하기 위해 정교한 방법을 활용했습니다.
적들은 SSH 프로토콜을 사용하여 초기 네트워크 접근에 성공했고 다음 날 아키라 랜섬웨어 샘플을 배포하기 전에 중요한 데이터를 성공적으로 탈취했습니다. 감염 체인 동안 공격자들은 LOLBAS를 포함한 몇 가지 합법적인 도구를 악용하여 정찰을 수행하고 손상된 환경에서 지속성을 유지하기 위한 초록불을 받았습니다.
데이터를 성공적으로 탈취한 후 공격자들은 피해자의 시스템을 암호화하고 비활성화하기 위해 랜섬웨어를 배포했습니다. 주로 Windows 시스템을 대상으로 하는 것 외에도, 아키라 랜섬웨어 협력자들은 VMware ESXi 가상 머신용 변종을 포함한 Linux 변종에도 의존합니다. 최신 공격에서는, 아키라 랜섬웨어 운영자들이 Remmina와 연결된 도메인에 대한 DNS 쿼리와 같은 지표들 때문에 Linux 기반 사용자와 연관될 수 있습니다. 라틴 아메리카 항공사를 대상으로 한 이 공격 캠페인에서 공격자들은 CVE-2023-27532 취약점을 무기화하여 패치되지 않은 Veeam 백업 서버를 공격했습니다. 이전 공격에서 아키라 운영자들은 CVE-2020-3259 및 CVE-2023-20269를 포함한 다른 취약점과 제로데이 결함을 악용하여 시스템에 침투했습니다.
아키라는 2023년 초 봄부터 RaaS로 활동하며, 악명 높은 해커 그룹 Storm-1567 (또는 Punk Spider 및 GOLD SAHARA라고도 알려져 있음)에 의해 추진되고 있습니다. 이 그룹은 아키라 랜섬웨어를 개발하고 유지하며 전용 유출 사이트를 운영하고 있습니다.
아키라 랜섬웨어 운영자들은 종종 이중 협박 전술을 활용하여 랜섬웨어를 배포하기 전에 민감한 데이터를 탈취하며, 최신 공격도 동일한 행동 패턴을 따릅니다. 이 전략은 피해자들의 도난당한 데이터가 공개될 위험이 있기 때문에 그들이 빠르게 지불하도록 압력을 가합니다.
아키라 랜섬웨어와 관련된 주요 TTP는 오픈소스 침투 테스트 도구 같은 합법적인 소프트웨어의 악용과 VPN 소프트웨어를 포함한 오래된 또는 패치되지 않은 시스템의 취약점을 노린 공격입니다. 아키라 그룹은 다양한 산업 부문을 공격하여 전 세계의 핵심 인프라에 타격을 주었습니다. 2024년 4월, FBI와 CISA는 주요 사이버 보안 당국과 함께아키라 랜섬웨어 운영자에 의해 증가하는 공격에 대한 알려진 IOC와 TTP를 배포하기 위해 공동 CSA를 발표하였습니다, 그리고 침입 위험을 줄이기 위한 권고사항과 완화 방안을 함께 제공합니다.지속적인
랜섬웨어 위협의 확산은 사이버 보안 수비수를 새로운 공격 기법과 악의적인 전술로 지속적으로 도전하며 잠재적인 침입을 사전에 방지하기 위해 고급 위협 탐지 및 사냥 도구의 필요성을 증가시키고 있습니다. 재정적 목적을 가진 아키라 랜섬웨어 운영자와 연결된 라틴 아메리카 항공사에 대한 공격은 상대방이 패치되지 않은 취약점을 가진 지역의 조직을 목표로 할 준비가 되어 있음을 강조하며, 글로벌 조직들이 집단 산업 전문 지식에 의해 뒷받침된 사이버 보안 태세를 강화하기 위해 혁신적인 방법을 모색하도록 유도합니다. threats consistently challenges cybersecurity defenders with new attack techniques and malicious tactics, increasing the need for advanced threat detection and hunting tools to proactively counter potential intrusions. The attack on a Latin American airline linked to the financially motivated Akira ransomware maintainers underscores the adversary readiness to target organizations in various regions, especially those with unpatched vulnerabilities, which encourages global organizations to look for innovative ways to strengthen their cybersecurity posture backed by collective industry expertise. SOC Prime의 완벽한 제품군 은 AI 기반 탐지 엔지니어링, 자동화된 위협 사냥, 탐지 스택 검증을 통해 어떤 규모와 복잡성의 사이버 공격에 대한 집단적 사이버 방어를 가능하게 하는 실현 가능한 솔루션으로 보안 팀을 장비합니다.
